금융보안원이 롯데카드에 국내 정보보호 분야 최상급 인증을 부여한 바로 그날, 해커들의 첫 침투 시도가 시작된 사실이 확인되면서 현행 보안 인증 체계의 실효성에 의문이 제기되고 있다.

금융권에 따르면 금융보안원은 지난 8월 12일 롯데카드에 정보보호 및 개인정보보호 관리체계 인증을 수여했다. 이 인증은 점차 고도화되는 사이버 공격 위협에 대한 대응 능력과 기업의 정보보호 시스템 및 개인정보보호 관리 운영의 적정성을 평가하는 공식 인증제도로, 국내에서 가장 권위 있는 보안 관리체계 인증으로 인정받고 있다.

롯데카드는 관리체계 구축과 운영, 보호 대책 요구사항, 개인정보 처리 단계별 요구사항 등 3개 분야 101개 기준에 대한 심사를 통과해 이번 인증을 획득했다고 밝혔다. 또한 정보보호 분야 최고 권위의 국제표준과 국제 카드사 공통 데이터 보안 표준 등 다수의 보안 관련 인증을 보유하고 있다고 강조했다.

그러나 최상급 보안 인증 취득과 동시에 오전 3시 43분 최초 해킹 시도가 발생했고, 다음 날인 13일에는 서버에 악성 프로그램이 설치된 후 약 2주간 200GB 규모의 데이터가 외부로 유출됐다. 해커들은 2017년 설치된 웹로직 프로그램 48개 중 보안 업데이트가 누락된 1개 프로그램의 취약점을 이용해 시스템에 침투한 것으로 파악됐다.

이번 사태로 고객 960만 명 중 297만 명의 개인정보가 노출됐으며, 이 중 28만 명은 카드 비밀번호와 CVC 번호 등 핵심 결제정보까지 유출되어 악용 가능성에 노출된 상황이다.

특히 금융보안원 자체가 보안 인증의 한계를 인정하는 발언을 내놓아 논란을 가중시켰다. 권기남 금융보안원 사이버대응본부장은 브리핑에서 "해당 인증은 기업이 정보보호 업무 수행 준비를 마쳤다는 뜻이지, 악성코드나 해킹 공격에 완전히 안전하다는 보장은 아니다"라며 "인증을 취득한 기업도 언제든 해킹 위험에 노출될 수 있다"고 설명했다.

이에 대해 권대영 금융위원회 부위원장은 "IT 기술 발전으로 해킹 기법과 공격 방식이 더욱 정교하고 교활하게, 그리고 빠르게 발전하는 반면 금융권의 대응은 이를 따라가지 못하는 상황"이라고 진단했다. 이어 "보안 투자를 불필요한 지출이나 부수적 업무로 인식하는 안일한 인식이 금융업계에 있지는 않았는지 진지하게 성찰해야 할 때"라고 지적했다.

정부는 국가안보실을 중심으로 관련 부처가 참여하는 종합 대책을 수립하기로 했다. 금융위는 징벌적 과징금 제도 도입과 함께 금융회사의 상시 보안 관리 체계 강화를 위해 CISO 권한 확대, 소비자 공시 강화 등 다양한 개선책을 추진할 계획이다.

권 부위원장은 "최근 일련의 사건들을 계기로 국민이 금융회사를 신뢰할 수 있도록 보안 실태에 대한 철저한 점검과 재발 방지를 위한 근본적 제도 개선에 즉시 착수하겠다"고 밝혔다.